專家發現間諜軟體偽裝成點餐 APP，竊取加密錢包助記詞

卡巴斯基防駭專家在蘋果商店發現了隱藏的間諜軟體，一款名為 ComeCome 的 iOS 點餐應用程式中出現了惡意間諜軟體，這款訂餐 APP 也可以從 Google Play 下載，目的為竊取加密貨幣錢包用戶的助記詞，藉以盜取加密貨幣。

卡巴斯基的分析專家 Dmitry Kalinin 和 Sergey Puzan 表示該應用程式還會將受害者的加密貨幣金鑰轉交給詐騙集團。根據卡巴斯基研究員的說法，這款訂餐 APP 被嵌入了惡意 SDK 框架，可於未指定時刻裡解鎖光學字元識別 (OCR) 插件。當 OCR 程式碼開始運作後，應用程式就會在行動裝置上搜尋螢幕截圖，掃描加密貨幣錢包的助記詞（Seed Phrase），間諜軟體竊取助記詞後，盜取用戶錢包內的加密貨幣。

專家並表示由於助記詞被犯罪集團盜走，應用程式背後的犯罪集團可以控制受害者的加密貨幣錢包，並將資金轉移，這是為何助記詞最好要嚴密保管、保持離線存取，而不是只用手機螢幕截圖紀錄。

Apple 已經下架了 Come Come 送餐 APP ，但可怕的是不論 Google Play 或是蘋果的 App Store 都未能察覺應用程式內包含的惡意軟體，目前應用程式商店裡還不只一款像是 Come Come 這種看似正常的應用程式供用戶下載，這些應用程式可以完全躲過上架審查，就連被網友信賴的蘋果商店也可騙過審查，這些看起來像是一般常用的 APP 包藏禍心 ，被植入惡意軟體 SparkCat ，歹除竊取的都是敏感的個資帳戶密碼與加密錢包助記詞。

惡意軟體 SparkCat 專門竊取密碼和助記詞

專家將竊取助記詞的惡意軟體命名為 SparkCat，並指出它足夠靈活，不僅可以竊取助記詞，還可以竊取手機圖庫中其他的敏感數據，像是手機螢幕截圖中的訊息或密碼。

卡巴斯基團隊表示，犯罪集團目標對象看得出是歐洲和亞洲的 Android 和 iOS 用戶。Google Play 商店中還有許多應用程式已被植入 SparkCat，這些應用程式的下載量超過 242,000 次。

無法確認 SparkCat 是透過駭客潛入這些應用程式，還是應用程式開發團隊本身就是詐騙集團。蘋果已從 iOS 商店中下架 ComeCome APP， Google Play 商店也下架這款有問題的 APP 。但專家擔心還有許多看似正常的商業應用程式還隱藏於商店內，會被不知情用戶下載。

SparkCat 如何運作？

SparkCat 是指惡意應用程式中名為 Spark 的高度混淆的模組，此間諜軟體主要以 Java 編寫，並使用 Rust 實現未識別協定與其遠端命令和控制 (C2) 伺服器進行通訊。

連接到其 C2 伺服器後，Android 版本的 Spark 會下載並使用 Google ML Kit 庫中 Text Recognizer 介面的包裝器從畫面中提取字元，此惡意軟體並會根據系統語言載入不同的 OCR 模型，以識別圖片中的拉丁文、韓文、中文或日文字。如果與該應用程式進行接觸（註：透過合法的第三方 Easemob Help Desk SDK 互動），APP 會要求存取手機裝置的圖像庫，如果歹徒獲得存取權限，他們會使用 OCR 掃描螢幕截圖藉以竊取加密錢包助記詞並將其發送到 C2 伺服器。

如何防範惡意間諜軟體？

將加密錢包的助記詞用紙和筆記下，這是保護助記詞最古早的方式。許多人為了方便會用手機截圖，但專家認為這種方式較為危險。除了不要任意下載來路不明的 APP 以外，平常就要時時檢查應用程式的訪問權限，看看錄音、錄影與擷取螢幕畫面的功能有沒有莫名其妙被開啟，許多應用程式都會在下載時讓用戶開放這些權限，最好時時檢查，不用程式時就關閉探訪權限，讓第三方應用程式無法進入，會是較容易的基本日常防範方式。

 

 

 

 

 

 

 

 

 

這篇文章 專家發現間諜軟體偽裝成點餐 APP，竊取加密錢包助記詞 最早出現於 鏈新聞 ABMedia。